אריזת מפתח הצפנה

בקריפטוגרפיה, אריזת מפתח הצפנה (באנגלית: Key wrapping) היא מחלקה של אלגוריתמים קריפטוגרפיים המשתמשים בצופן סימטרי ל"עטיפה" (הצפנה) של מפתחות. אלגוריתם אריזת מפתח נועד להגנה על מפתחות הצפנה בעת העברתם ברשת פתוחה או אחסונם במדיית אחסון לא בטוחה. בדרך כלל בונים אלגוריתם כזה על בסיס פרימיטיבים קריפטוגרפיים ידועים כמו פונקציית גיבוב וצופן בלוקים. הוא שונה במעט מאלגוריתם KEM (קיצור של Key Encapsuation Mechanism) המבוסס על מפתח ציבורי. למרות שהמטרות זהות, העברה בטוחה של מפתח הצפנה. אלגוריתם אריזת מפתח יוצא מהנחה בסיסית ששני הצדדים משתפים ביניהם מפתח הצפנה סודי סימטרי ואילו KEM מסתמך על פרוטוקול דוגמת דיפי-הלמן כדי להצפין את מפתח השיחה באמצעות מפתח הצפנה ציבורי ארוך טווח או עושה שימוש בחתימה דיגיטלית.

רקע[עריכת קוד מקור | עריכה]

ב-1997 פרסם NIST בעיה הנקראת בעיית אריזת מפתח כהגדרתם חיפוש דרכים סימטריות יעילות להסתרת ערך סודי קצר כמו מפתח הצפנה ומידע נלווה כלשהו במהלך העברה ברשת פתוחה. ההנחה הבסיסית היא שהצדדים משתפים ביניהם מפתח סודי. שימוש ישיר בצופן בלוקים מהווה בעיה מכמה סיבות. א) יכול להיות שהמפתח יהיה גדול מהבלוק לכן יהיה צורך בסכימת ריפוד בטוחה באופן שכל סיביות המפתח יהיו תלויות בכל סיביות הטקסט המוצפן. למשל מצב הפעלה בטוח כמו מצב מונה (CTR). ב) צופן הבלוקים אינו מספק הבטחת שלמות. ג) מסיבות של יעילות ומניעת התנפחות נדרש אלגוריתם דטרמיניסטי, כלומר היעדר תוספת של מספר אקראי כלשהו. מסיבה זו צפנים העושים שימוש בווקטור אתחול וכן צופן זרם שבדרך כלל מלווה בווקטור אתחול אינם מתאימים. וכן הועלתה בקשה להצעת אלגוריתמים דטרמיניסטיים מבוססי-צופן (cipher-based) לצורך הערכתם ושילובם במודולי הצפנה מאומתת מאושרים. NIST לא הגדיר במדויק את דרישות הביטחון המינימליות או התכונות הספציפיות הנדרשות ממודול כזה, אך הדרישות הבסיסיות שהועלו הן: א) סודיות ב) הגנה על שלמות ג) יעילות ד) שימוש באלגוריתמים תקניים כמו AES כבסיס וה) תכונות נוספות כמו עמידות נגד שימוש בלתי ראוי (במכוון על ידי צד זדוני או שלא במכוון כמו טעויות מפעיל) ואפשרות לשימוש במחולל אקראי בעל איכות נמוכה. יש לציין שאפשר להשיג את המטרות המנויות על ידי שימוש בהצפנה מאומתת במיוחד לאור העובדה שבהצפנת מפתחות שבדרך כלל הם ערכים אקראיים אלגוריתם דטרמיניסטי מספק ואין צורך באקראיות נוספת. חרף זאת קיימת תועלת מעשית בשיטות ממוקדות לאריזת מפתח ויש לכך קשר הדוק לנושא חשוב בקריפטוגרפיה שנקרא "הצפנה מאומתת דטרמיניסטית" בקיצור DAE שמתאימה במיוחד למקרים בהם קיים קושי להשתמש בווקטור אתחול אקראי או ייחודי. סכימה כזו אטרקטיבית במיוחד במקרים בהם נדרשת עמידות נגד שימוש לא ראוי (misuse-resistant), על ידי הפיכת וקטור האתחול לערך קבוע ושימוש בו על ידי שילוב עם הקלט.

מאז ההצעה של NIST פורסמו מספר הצעות כמו RFC 3394 ופיתוחים מעשיים הכוללים בין היתר:

הצעה של NIST מ-2001 שנקראת SP800-38F המבוססת על AES.
טיוטה X9.102 של קבוצת X9F1 השייכת למכון התקנים האמריקני, הכוללת 4 הצעות:
- AESKW
- TDKW (וריאנט של AESKW)
- AKW1
- AKW2

ביטחון[עריכת קוד מקור | עריכה]

באופן כללי אלגוריתמים להצפנה מאומתת או שילוב של צופן בלוקים עם קוד אימות מתאימים לצורך אריזת מפתח, אם כי הם חסרים תכונות מיוחדות נוספות כמו דרישות ג) או ה) לעיל. אלגוריתמים להצפנה מאומתת שמתאימים במיוחד לאריזת מפתח הצפנה הם כאלו שעושים שימוש בצופן סימטרי ללא וקטור אתחול או וקטור אתחול מבוסס מסר, ביניהם אפשר למנות את SIV או CIP. רוגווי ושרימפטון העריכו את ביטחון האלגוריתמים המנויים בתקן X9.102 ביחס לדרישות שהוצהרו. הם הצביעו על ליקויים אחדים, ביניהם העובדה שלא קיימות הגדרות ביטחון ברורות בתקן וכן העדר הוכחות.

אלגוריתם אריזת מפתח של NIST[עריכת קוד מקור | עריכה]

אלגוריתם אריזת מפתח שנקרא גם KEK נועד למקרה הנפוץ של הצפנת מפתח הצפנה של AES ולפי התקן מבוצע למען הנוחות בחלוקה ל- $n$ בלוקים באורך 64 סיביות. כדי לארוז מפתח AES נדרשים לכל היותר ארבעה בלוקים. על כל פנים ייתכנו מפתחות או ערכים קריפטוגרפיים אחרים כמו מספר אקראי עבור DSA ארוכים יותר לכן לא נקבע גבול עליון. KEK מבוסס בעצמו על AES לכן ביטחונו מושפע בין היתר מאורך מפתח AES המשמש להצפנת המפתח. בתיאור האלגוריתם להלן הפונקציה ${\text{MSB}}_{j}(W)$ מחזירה את $j$ הסיביות הכי משמעויות של $W$ לפי סדר בתים קטן. וכן ${\text{LSB}}_{j}(W)$ מחזירה את $j$ הסיביות הפחות משמעותיות של $W$ . הסמל $\|$ מייצג שרשור והסימן $\oplus$ הוא XOR. הקלט הוא מערך טקסט קריא: $P_{1},P_{2},...,P_{n}$ באורך $n$ בלוקים של 64 סיביות כל אחד, המכיל את המפתח המיועד להסתרה וכן מפתח KEK המיוצג על ידי $K$ (יכול להיות כל מפתח המתאים ל-AES לפי הצורך). הפלט הוא $n+1$ בלוקים של טקסט מוצפן המייצגים את המפתח המוסתר באופן כזה שאם חל בהם שינוי אפילו קל ביותר במהלך ההעברה ניתן לאתרו.

אלגוריתם KEK אריזת מפתח[עריכת קוד מקור | עריכה]

אתחול
מציבים $A=IV$ (ערך התחלתי קבוע להלן).

עבור $i=1$ עד $n$ בצע:
$R_{i}=P_{i}$ .
ערכי ביניים
עבור $j=0$ עד $5$ בצע:
עבור $i=1$ עד $n$ בצע (בסך הכול $6n$ סבבים):
$B={\text{AES}}_{K}(A\ \|\ R_{i})$

$A={\text{MSB}}_{64}(B)\oplus t$ כאשר $t=(n\cdot j)+i$

$R_{i}={\text{LSB}}_{64}(B)$
פלט - המערך $C$ כאשר:
$C_{0}=A$

עבור $i=1$ עד $n$ בצע: $C_{i}=R_{i}$ .

אלגוריתם KEK הסרת אריזה[עריכת קוד מקור | עריכה]

אתחול
$A=C_{0}$

עבור $i=1$ עד $n$ בצע: $R_{i}=C_{i}$ .
ערכי ביניים
עבור $j=5$ עד $0$ בסדר יורד בצע:
עבור $i=n$ עד $1$ בסדר יורד בבצע:
$B={\text{AES}}_{K}^{-1}((A\oplus t)\ \|\ R_{i})$ כאשר $t=(n\cdot j)+i$

$A={\text{MSB}}_{64}(B)$

$R_{i}={\text{LSB}}_{64}(B)$
פלט
עם ערכו של $A$ תואם את הקבוע הצפוי מוחזר המערך $P$ כאשר:
עבור $i=1$ עד $n$
$P_{i}=R_{i}$

אחרת מוחזרת הודעת שגיאה.

הערך ההתחלתי הקבוע או וקטור האתחול המסומן IV משמש כאן באופן עקיף להבטחת שלמות המפתח המוסתר. המפתח המוצפן מתקבל כאותנטי אך ורק אם לאחר הפענוח מתקבל ב- $A$ הקבוע הצפוי. ערכו הספציפי נתון לשינויים ותלוי במספר גורמים. כמו למשל אם נדרשת הבטחת שלמות רק במהלך האריזה או ברמה גבוהה יותר. התקן מגדיר מספר קבועים אפשריים כמו: ${\text{IV}}={\text{0xA6A6A6A6A6A6A6A6}}$ .

ראו גם[עריכת קוד מקור | עריכה]

הערות שוליים[עריכת קוד מקור | עריכה]